Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей
Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e в котором исправлена 21 ошибка. В новой версии устранено две уязвимости:- Уязвимость в реализации команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
- Уязвимость в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.
Другие исправления:
- Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
- Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
- Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
- Откорректирован вывод некоторых предупреждающих сообщений;
- Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
- Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;
Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4, в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.
© OpenNet